Windows Server 2022活动目录管理实践( 第2版 微课版)-课件项目11 管理将计算机加入域的权限.pptx

项目11管理将计算机加入域的权限

普通域用户将计算机加入域的权限普通域用户将指定计算机加入域的权限域控制器和域成员计算机之间的信任关系目录

普通域用户将计算机加入域的权限

普通域用户将计算机加入域的权限在默认情况下，一个普通域账户最多可以将10台计算机加入域，这有可能导致普通域用户将外部计算机加入域，存在不可预期的安全隐患。将普通域用户允许加入域的计算机数量由10改为0，如图所示，即可限制该域用户将计算机加入域的权限。

普通域用户将指定计算机加入域的权限

普通域用户将指定计算机加入域的权限在限制了普通域账户将计算机加入域的权限后，域管理员可以授权普通域用户将指定的计算机加入域。例如，要将一台名为“sqlserver2”的计算机加入活动目录的“网络部”组织单位，域管理员可以在“ActiveDirectory用户与计算机”管理控制台的“业务部”组织单位中的右键菜单中选择“新建”→“计算机”命令，弹出“新建对象-计算机”对话框，如图所示。新建-计算机账户

普通域用户将指定计算机加入域的权限在“计算机名”文本框中输入“sqlserver2”，在“用户或组”中选择网络部用户“jack@jan16.cn”（授权普通用户“jack”），这样用户“jack”就可以将该客户机加入域了。计算机sqlserver2在加入域后，用户“jack”的委派工作就结束了。添加对象-计算机

域控制器和域成员计算机之间的信任关系

信任关系的定义在Windows域环境中，信任关系是在域之间（包括域控制器和域成员计算机）建立的一种关系，它允许一个域中的用户和资源能够被另一个域中的域控制器进行身份验证和访问控制。这种信任关系是通过活动目录中的策略和设置来实现的。如果域成员计算机长时间未登录域，那么域控制器和客户机之间的信任关系会被破坏。例如，域成员计算机计算机超过30天没有登录域，会导致安全通道密码发生变化，需要重置安全通道密码。在这种情况下，通常需要将该计算机从域中退出，再将其重新加入域。

域控制器和域成员计算机之间的信任关系身份验证用户访问网络资源时，需通过域控制器验证其身份。验证基于活动目录的权限，且依赖域控制器与成员计算机间的信任关系。信任关系一旦受损，用户将无法访问资源。策略应用域控制器运用组策略统一配置域内计算机，确保安全与管理的标准化。此应用同样依赖于域控制器与成员计算机间的信任关系。资源访问域内资源访问基于域控与成员间的信任。用户访问时，域控制器会验证用户的身份和权限，决定访问是否通过。

维护信任关系的重要性安全性信任关系确保了域内用户和资源的安全访问。如果信任关系被破坏，未经授权的用户可能会访问敏感资源，导致数据泄露或损坏。稳定性稳定的信任关系有助于确保域环境的稳定运行。如果信任关系出现问题，可能会导致身份验证失败、资源访问受限等问题，影响用户的正常工作。管理性通过信任关系，管理员可以更方便地管理域内的用户和资源。例如，他们可以使用组策略来统一设置用户环境、应用程序和安全策略等。